Adobe Flash Player の Primetime SDK における Use-After-Free の脆弱性(Scan Tech Report) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.05.23(水)

Adobe Flash Player の Primetime SDK における Use-After-Free の脆弱性(Scan Tech Report)

脆弱性と脅威 エクスプロイト

◆概要

Adobe Flash Player に含まれている SDK に、ポインタ制御の不備が報告されています。攻撃者が作成した悪意のある SWF ファイルに、脆弱性が存在する Adobe Flash Player が有効化された Web ブラウザでアクセスした場合に、悪意のあるコードが実行されてしまい、端末の制御を奪われてしまう可能性があります。脆弱性が修正されたバージョンが公開されているため、アップデートを適用して脆弱性に対応してください。

◆分析者コメント

クライアントサイドの脆弱性では、ここ数ヶ月にエクスプロイトコードが公開された数式エディタの脆弱性 (CVE-2018-0802、CVE-2017-11882) などが公開されています。当該脆弱性は Adobe Flash Player が有効化されているブラウザに対して幅広く悪用可能な脆弱性であるため、攻撃者による標的型攻撃キャンペーン活動に積極的に悪用する可能性が高い脆弱性です。脆弱性が修正された Adobe Flash Player にアップデートすることにより早急に対策してください。

◆深刻度(CVSS)

[CVSS v2]
7.5
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?name=CVE-2018-4878&vector=(AV:N/AC:L/Au:N/C:P/I:P/A:P)

[CVSS v3]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2018-4878&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

◆影響を受けるソフトウェア

Adobe Flash Player のバージョン 28.0.0.137 以下が当該脆弱性の影響を受けます。

◆解説

Adobe Flash Player に、遠隔から任意のコードが実行可能となる脆弱性が公開されています。

《株式会社ラック サイバー・グリッド研究所》

関連記事

特集

PageTop

アクセスランキング

  1. 日本人2億件の個人情報が中国地下市場に出品、大半が過去の漏えい情報(ファイア・アイ)

    日本人2億件の個人情報が中国地下市場に出品、大半が過去の漏えい情報(ファイア・アイ)

  2. 「スピードラーニング」のデータをオークション販売目的でアップロード(ACCS)

    「スピードラーニング」のデータをオークション販売目的でアップロード(ACCS)

  3. メールサーバーが不正アクセス、不特定多数のユーザーへメール送信(ジラフ)

    メールサーバーが不正アクセス、不特定多数のユーザーへメール送信(ジラフ)

  4. パスワードを使わないログインを提供、すでに200万IDが利用(Yahoo! JAPAN)

    パスワードを使わないログインを提供、すでに200万IDが利用(Yahoo! JAPAN)

  5. ここが変だよ日本のセキュリティ 第33回 「君は生き延びることができるか!? セキュリティの半分は信頼で出来ている」

    ここが変だよ日本のセキュリティ 第33回 「君は生き延びることができるか!? セキュリティの半分は信頼で出来ている」

  6. MS Wordの「メール一括送信」機能を誤って選択、個人情報誤送信(JNSA)

    MS Wordの「メール一括送信」機能を誤って選択、個人情報誤送信(JNSA)

  7. ルータのDNS設定を改ざんする「Roaming Mantis」攻撃の脅威が拡大(カスペルスキー)

    ルータのDNS設定を改ざんする「Roaming Mantis」攻撃の脅威が拡大(カスペルスキー)

  8. 教育現場でiPadの評判急降下の理由(The Register)

    教育現場でiPadの評判急降下の理由(The Register)

  9. BIND 9.12.xに、namedが異常終了を起こしサービスが停止する脆弱性(JPRS、JVN)

    BIND 9.12.xに、namedが異常終了を起こしサービスが停止する脆弱性(JPRS、JVN)

  10. 5月25日から施行のGDPR、法務部や経営企画の理解に遅れ(トレンドマイクロ)

    5月25日から施行のGDPR、法務部や経営企画の理解に遅れ(トレンドマイクロ)

ランキングをもっと見る